BloodHound
Что такое BloodHound?
BloodHoundОткрытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
BloodHound — это открытый инструмент анализа путей атаки, созданный Andy Robbins, Will Schroeder и Rohan Vazarkar и сопровождаемый компанией SpecterOps. Коллектор (SharpHound или AzureHound) собирает пользователей, группы, сессии, ACL и отношения доверия из Active Directory и Entra ID, после чего интерфейс BloodHound отображает их в виде графа Neo4j и подсвечивает кратчайший путь от любого скомпрометированного субъекта до ценных активов. Red team применяет его для планирования эскалации привилегий, blue team — для приоритизации хардненинга (Tier 0, чистка ACL, сокращение членства в группах). Сбор данных требует прав чтения каталога и обычно достаточно шумный, чтобы его можно было обнаружить.
● Примеры
- 01
Визуализация кратчайшего пути от пользователя helpdesk до Domain Admin через вложенные группы.
- 02
Blue team использует BloodHound, чтобы убрать неиспользуемые права DCSync у старых сервисных учёток.
● Частые вопросы
Что такое BloodHound?
Открытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin. Относится к категории Защита и операции в кибербезопасности.
Что означает BloodHound?
Открытый инструмент, использующий теорию графов для построения и анализа путей атаки в Active Directory и Azure AD к ценным целям, например Domain Admin.
Как защититься от BloodHound?
Защита от BloodHound обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BloodHound?
Распространённые альтернативные названия: BloodHound CE, BloodHound Enterprise.